WBCE CMS Forum

florian

Administrator

WBCE CMS 1.6.7 verfügbar/available

English translation follows

WBCE CMS 1.6.7 steht ab jetzt zur Verfügung. Bei dieser Version handelt es sich um ein wichtiges Sicherheits- und Wartungsrelease. Ein Update wird empfohlen. Instanzen, die nicht geupdatet werden, sollten zumindest mit dem Sicherheitspatch versorgt werden.

Bevor Fragen aufkommen: Die Versionsnummer 1.6.6 ist aus technischen Gründen übersprungen worden. Eigentlich war diese Version 1.6.7 auch gar nicht geplant, da wir aktuell an Version 1.7.0 mit wirklich großen Änderungen und Verbesserungen arbeiten. Da es bis zu deren Veröffentlichung aber noch etwas dauert, und 1.6.5 unter bestimmten Umständen verwundbar ist, war jetzt doch noch ein Zwischen-Update erforderlich.

Installation bzw. Update

Die Installation kann mittels der auf wbce.org verlinkten Zipdateien in der Installationsanleitung und Aufruf des Unzip-Scripts (letzteres zusammen mit dem Zip hochladen und zurück in *.php umbenennen) erfolgen.
Für das Update bietet sich das Admintool WBCE Updater an.

Das Installations-/Update-Paket kann ebenfalls wie üblich auf GitHub heruntergeladen werden.

Was ist neu?

Sicherheitsupdate für Frontend-Login
Die XSS-Lücke, die den Patch außer der Reihe nötig gemacht hatte, ist in dieser Version logischerweise behoben.

elFinder aktualisiert
elFinder wurde auf Version 2.1.67 aktualisiert.

CAPTCHA für Anmeldemaske nur noch bei Bedarf
Die in 1.6.5 eingeführte CAPTCHA-Prüfung in der CMS-Anmeldemaske erscheint jetzt nur noch, wenn es tatsächlich auffällig viele fehlgeschlagene Anmeldeversuche - unabhängig von der dafür verwendeten IP-Adresse - gegeben hat.

Es gibt die Möglichkeit, diesen zusätzlichen Schutz zu deaktivieren, zum Beispiel, weil die Instanz bereits anderweitig geschützt ist, das Fraggy-Backendtheme verwendet wird oder den Nutzer:innen das Lösen eines CAPTCHAs nicht zuzumuten wäre. In diesem Falle ist ein neuer Eintrag in der config.php vorzunehmen:

define('NO_LOGIN_CAPTCHA',true);

Weiterhin ist der CAPTCHA-Schutz nicht aktiv, wenn durch den entsprechenden Eintrag in der config.php auf das Sitzungscookie verzichtet wird.
Siehe dazu die Erläuterungen in der Doku.

WBCE Flat Backend-Theme responsive
Das Standard-Backendtheme WBCE Flat ist jetzt auch am Tablet/Smartphone benutzbar.

WBCE Updater-Admintool
Zukünftige Updates können bequem über das neue Admintool WBCE Updater erfolgen.

Diverse kleine Korrekturen
Problem mit Mailvalidierung bei PHP >=8.4 behoben, config.php-Option für Mailadresse als Login, Bot-Honeypot als Standard in allen Miniform-Default-Templates.

Update jQuery-Bibliotheken
jQuery Migrate - v3.6.0,  jQuery UI - v1.14.2.

Update PHPMailer
Aktualisiert auf Version 7.0.2.

Systemvoraussetzungen

PHP 8.2. x - PHP 8.4.x.  PHP 7.4.x wird nicht mehr, PHP 8.5.x noch nicht unterstützt.

Auch wenn das ganze eher lästig ist, wird empfohlen, ein Update durchzuführen. Wer das längere Zeit nicht getan hat und noch mit 1.5.x oder noch älter am Start ist, sollte vorher die Releasenotes zu 1.6.0 lesen.

Vielen Dank an alle, die mit Ideen und Beiträgen an dieser Version mitgewirkt haben, und alle Spender, die WBCE und das Team unterstützen.

Last edited by florian (06.05.2026 22:42:40)

---

Sorgen sind wie Nudeln: man macht sich meist zu viele.

florian

Administrator

Re: WBCE CMS 1.6.7 verfügbar/available

WBCE CMS 1.6.7 is now available. This version is an important security and maintenance release. An update is recommended. Instances that are not updated should at least be repaired with the security patch.

Before any questions arise: Version number 1.6.6 was skipped for technical reasons. Version 1.6.7 wasn't actually planned, as we are currently working on version 1.7.0 with significant changes and improvements. However, since its release is still some time away, and version 1.6.5 is vulnerable under certain circumstances, an interim update was necessary.

Installation and Update

Installation can be performed using the ZIP files linked in the installation instructions on wbce.org (german) and by running the unzip script (upload the latter along with the ZIP file and rename it back to *.php).

The WBCE Updater admin tool is recommended for updating.

The installation/update package can also be downloaded from GitHub as usual.

What's new?

Security update for frontend login
The XSS vulnerability that necessitated this unscheduled patch is, of course, fixed in this version.

elFinder updated
elFinder has been updated to version 2.1.67.

CAPTCHA for login screen only when needed
The CAPTCHA check introduced in version 1.6.5 for the CMS login screen now only appears if there have been an unusually high number of failed login attempts—regardless of the IP address used.

This additional protection can be disabled, for example, if the instance is already protected by other means, the Fraggy backend theme is being used, or if it would be unreasonable to expect users to solve a CAPTCHA. In this case, a new entry must be added to the config.php file:

define('NO_LOGIN_CAPTCHA',true);

Furthermore, CAPTCHA protection is not active if the session cookie is disabled by adding the corresponding entry to the config.php file.

WBCE Flat Backend Theme Responsive
The standard WBCE Flat backend theme is now also usable on tablets and smartphones.

WBCE Updater Admin Tool
Future updates can be conveniently performed using the new WBCE Updater admin tool.

Various Minor Fixes
Fixed an issue with email validation in PHP versions 8.4 and above, added a config.php option for email address as login, and set the bot honeypot as the default in all miniform default templates.

Updated jQuery Libraries
jQuery Migrate - v3.6.0, jQuery UI - v1.14.2.

PHPMailer Update
Updated to version 7.0.2.

System Requirements

PHP 8.2.x - PHP 8.4.x. PHP 7.4.x is no longer supported, and PHP 8.5.x is not yet supported.

Even though this is rather inconvenient, we recommend updating. If you haven't updated in a while and are still using version 1.5.x or older, please read the release notes for version 1.6.0 beforehand.

Many thanks to everyone who contributed ideas and ideas to this version. And also many thanks to all donators who support WBCE and its team.

Last edited by florian (06.05.2026 22:43:20)

---

Sorgen sind wie Nudeln: man macht sich meist zu viele.